Não sei se é falha de segurança, Felix. O apache não vai permitir que um usuário externo acesse nada que esteja fora da árvore de documentos. Até já se pegou algumas falhas, onde o atacante acessava algo como
http://servidor-do-cris/cris/../../../etc/passwdE conseguia pegar o arquivo de senhas do coitado. Mas essas falhas já estão no passado...
Agora, corrijo-me. Quando eu disse que o apache precisa ter direitos de
leitura e execução em todo o caminho, não é verdade; ele só precisa ter direitos de
execução em todos os diretórios do caminho. Direito de leitura, ele só precisa ter no diretório de destino, e mesmo assim só se precisar listar o seu conteúdo.
Assim, se o link /var/www/cris aponta para /media/Windows7/virtual, então vc tem que garantir que o usuário "www-data" tenha direito de execução em "/media", em "/media/Windows7" e em "/media/Windows7/virtual".
E pelo nome do arquivo, não me espanta se isso for uma partição Windows formatada em NTFS. Dependendo de como estiverem as opções de montagem, o usuário www-data não vai conseguir mesmo esse acesso...